Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 20.06.2026 · 4 min Lesezeit

Nightmare Eclipse: Der Zero-Day-Forscher, der Microsoft seit Monaten vorführt

Seit März 2026 veröffentlicht Nightmare Eclipse regelmäßig Exploits für ungepatchte Microsoft-Lücken – immer dienstags, immer am Patchday. Sechs Zero-Days, eine MSRC-Kontroverse und kein Ende in Sicht.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Nightmare Eclipse Sicherheitsnews Grafik mit Zero Day Warnung, beschädigtem Microsoft Schutzschild, Lupe und dunkler Cybersecurity Atmosphäre vor Server Hintergrund

Seit März 2026 veröffentlicht ein Sicherheitsforscher unter dem Pseudonym "Nightmare Eclipse" in regelmäßigen Abständen Exploits für bislang ungepatchte Schwachstellen in Microsoft-Produkten. Die Veröffentlichungen erfolgen auffällig häufig an Patchtagen – also genau dann, wenn Microsoft selbst Sicherheitsupdates ausliefert. Bislang sind sechs Zero-Day-Exploits dokumentiert, die von Nightmare Eclipse stammen. Der Fall hat eine Debatte über koordinierte Offenlegung, strafrechtliche Drohungen und die Grenzen legitimer Sicherheitsforschung ausgelöst.

Wer ist Nightmare Eclipse?

Die Identität des Forschers ist nicht bekannt. Nightmare Eclipse tritt ausschließlich über anonyme Kanäle in Erscheinung und hat keine öffentlichen Profile bei etablierten Bug-Bounty-Plattformen. Nach eigenen Angaben handelt es sich bei den Veröffentlichungen um eine Vergeltungsaktion für eine persönliche Auseinandersetzung mit Microsoft. Welcher Art dieser Konflikt ist, hat der Forscher nicht im Detail ausgeführt. Die wiederholte Veröffentlichung von Proof-of-Concept-Code für ungepatchte Lücken ist jedoch ein ungewöhnlich aggressiver Schritt, der über übliche Disclosure-Praktiken weit hinausgeht.

Help Net Security beschreibt Nightmare Eclipse als "unidentified security researcher who has been publishing exploits for zero-day vulnerabilities in Microsoft software since March 2026, apparently in retaliation for a dispute with the company."

Die veröffentlichten Zero-Days im Überblick

Seit März 2026 hat Nightmare Eclipse sechs Exploits veröffentlicht, die unterschiedliche Komponenten von Microsoft-Software betreffen:

BlueHammer und RedSun (März 2026)

Die ersten beiden Veröffentlichungen waren lokale Privilege-Escalation-Lücken in Windows. Beide Exploits ermöglichen es einem Angreifer mit niedrigen Rechten, SYSTEM-Rechte zu erlangen. Microsoft hat diese Lücken inzwischen geschlossen.

UnDefend (April 2026)

Ein Denial-of-Service-Exploit gegen Microsoft Defender. UnDefend legt die Malware Protection Engine lahm, sodass das System ohne Echtzeitschutz bleibt. Der Exploit erfordert lokale Ausführungsrechte, macht Defender aber faktisch unbrauchbar, bis ein Neustart erfolgt.

YellowKey (Mai 2026)

Ein BitLocker-Bypass, der als CVE-2026-45585 geführt wird. Der Exploit umgeht die BitLocker-Verschlüsselung unter bestimmten Bedingungen und ermöglicht den Zugriff auf verschlüsselte Daten, ohne den Recovery-Key zu kennen. Microsoft hat YellowKey im Juni-Patchday 2026 geschlossen.

GreenPlasma (Mai 2026)

Eine Privilege-Escalation-Lücke im Windows-Textdienst CTFMON (CVE-2026-45586). Auch diese Lücke wurde im Juni-Patchday 2026 adressiert.

RoguePlanet (Juni 2026)

Der bislang aktuellste Exploit (CVE-2026-50656) betrifft Microsoft Defender und nutzt eine Race Condition für lokale Rechteausweitung auf SYSTEM-Ebene. Besonders kritisch: Der Exploit funktioniert auch bei aktiviertem Echtzeitschutz, und Signatur-basierte Erkennung lässt sich durch kleine Änderungen am PoC umgehen. Microsoft hat bislang keinen Patch veröffentlicht, stuft eine Ausnutzung aber als "Exploitation More Likely" ein.

Warum immer dienstags?

Die Veröffentlichungen von Nightmare Eclipse folgen einem auffälligen Muster: Sie erscheinen regelmäßig am Microsoft-Patchday, also am zweiten Dienstag des Monats. RoguePlanet wurde beispielsweise am 9. Juni 2026 veröffentlicht – demselben Tag, an dem Microsoft den Juni-Patchday auslieferte, der unter anderem YellowKey und GreenPlasma schloss.

Diese Taktik ist strategisch: Indem der Exploit parallel zu den offiziellen Patches erscheint, können Administratoren nicht sofort reagieren. Gleichzeitig erhöht der Forscher den Druck auf Microsoft, weil die Öffentlichkeit und die Presse zeitgleich über die Lücke berichten. Für Angreifer bedeutet das: Sie erhalten am Patchday nicht nur die Liste der geschlossenen Lücken, sondern auch direkt ausnutzbaren Code für eine weitere, noch ungepatchte Schwachstelle.

Die MSRC-Kontroverse

Ende Mai 2026 eskalierte der Konflikt zwischen Microsoft und der Sicherheitscommunity. Das Microsoft Security Response Center (MSRC) veröffentlichte eine Stellungnahme zu Nightmare Eclipses Zero-Day-Disclosures und warnte, dass die Digital Crimes Unit des Unternehmens rechtliche Schritte gegen Personen einleiten würde, die "kriminelle Aktivitäten" ermöglichen. Viele Sicherheitsforscher interpretierten diese Formulierung als direkte Drohung gegen legitime Sicherheitsforschung.

Nach erheblichem Druck aus der Community ruderte Microsoft zurück. Das MSRC stellte in einer Klarstellung fest, dass man "nicht die Absicht habe, gegen Personen vorzugehen, die Sicherheitsforschung betreiben oder veröffentlichen." Der Vorfall zeigt die angespannte Beziehung zwischen Microsoft und Teilen der Sicherheitscommunity, die durch die wiederholten Zero-Day-Veröffentlichungen weiter belastet wird.

Bewertung für Administratoren

Die Nightmare-Eclipse-Reihe ist für Administratoren aus mehreren Gründen relevant:

  1. Erhöhtes Risiko an Patchtagen: Weil die Exploits gezielt parallel zu Microsoft-Updates erscheinen, steigt das Angriffsrisiko an diesen Tagen überdurchschnittlich.
  2. Keine Signatur-Erkennung: Nightmare Eclipse testet seine Exploits offenbar gegen Defender und stellt sicher, dass Signatur-basierte Erkennung umgangen werden kann.
  3. Breite Zielpalette: Die Exploits decken unterschiedliche Angriffsvektoren ab – von Defender über BitLocker bis zu Windows-Komponenten.
  4. Kein Ende absehbar: Solange der zugrundeliegende Konflikt nicht gelöst ist, müssen Administratoren mit weiteren Veröffentlichungen rechnen.

Die wichtigste Gegenmaßnahme bleibt ein diszipliniertes Patch-Management. Weil die Exploits lokale Rechteausweitung ermöglichen, aber keinen Fernzugriff, bleibt die Härtung gegen initiale Kompromittierung der wirksamste Schutz: eingeschränkte lokale Adminrechte, Application Control, Attack-Surface-Reduction-Regeln und saubere EDR-Telemetrie.

Quellen

  1. Help Net Security: Microsoft working on patch for RoguePlanet Defender zero-day
  2. The Hacker News: Microsoft Confirms RoguePlanet Defender Zero-Day
  3. Microsoft: CVE-2026-50656
  4. Microsoft: CVE-2026-45585 (YellowKey)
  5. Microsoft: CVE-2026-45586 (GreenPlasma)
Verwandt

Weiter lesen

Alle Artikel →
Microsoft Defender Warnmeldung zur RoguePlanet-Lücke CVE-2026-50656 mit beschädigtem Schutzschild, Serverumgebung und ausstehendem Patch Status in moderner Cybersecurity News Grafik
20.06.2026 ·4 min

Gentlemen Ransomware: EDR-Killer deaktivieren Sicherheitssoftware von 48 Herstellern

Eine Sicherheitsverletzung bei der Marktintelligenz-Plattform Klue hat zur Kompromittierung von Salesforce-Umgebungen mehrerer Unternehmen geführt. Die als Icarus bekannte Erpressergruppe erbeutete über einen kompromittierten Legacy-Zugang OAuth-Tokens und extrahierte umfangreiche CRM-Daten.
IT News Grafik zum Klue OAuth Breach: Icarus-Gruppe stiehlt Salesforce-Daten über kompromittierte OAuth-Integration
20.06.2026 ·4 min

Klue OAuth-Breach: Icarus-Gruppe stiehlt Salesforce-Daten über kompromittierte Integration

Eine Sicherheitsverletzung bei der Marktintelligenz-Plattform Klue hat zur Kompromittierung von Salesforce-Umgebungen mehrerer Unternehmen geführt. Die als Icarus bekannte Erpressergruppe erbeutete über einen kompromittierten Legacy-Zugang OAuth-Tokens und extrahierte umfangreiche CRM-Daten.
S-EDV News Grafik zu Infostealer Logs und 24 Milliarden Zugangsdaten
18.06.2026 ·4 min

24 Milliarden Zugangsdaten offen im Netz: Was Admins jetzt prüfen sollten

Eine riesige Sammlung aus Infostealer-Logs macht klar: Passwortwechsel allein reicht nicht. Admins sollten MFA, Sessions, Tokens und Anmeldeprotokolle prüfen.